DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tạo GeoIP map report với Wireshark
Nếu bạn cần tạo một bản báo cáo điều tra khi bạn tham gia vào việc xử lý một sự cố. Trong trường hợp này, một lựa chọn tốt có thể là tạo ra một bản đồ với các kết nối được thiết lập trong sự cố này. Hoặc có thể bạn muốn nhìn trên bản đồ nơi các lệnh một server tạo ra hay các quốc gia phát tán tấn công từ chối dịch vụ.
Để đạt được mục đích này, bạn có thể thực hiện bằng cách tạo ra một bản đồ sử dụng Wireshark. Trong bài này, mình sẽ sử dụng phiên bản mới nhất của Wireshark là 1.10.2.
Việc đầu tiên bạn cần là tải về cơ sở dữ liệu GeoIP: GeoLite City, Countruy và ASNum từ liên kết dưới đây:
http://dev.maxmind.com/geoip/legacy/geolite/
Sau đó, bạn lưu chúng vào cùng một folder. Ví dụ: C:Geoip
Bây giờ, chúng ta cần chỉ dẫn cho Wireshark nơi mà chúng ta lưu các tệp tin GeoIP. Để làm điều này, bạn cần mở Wireshark đi tới Edit -> Preferences -> Name Resolution và click vào Edit trong đường dẫn của cơ sở dữ liệu của GeoIP.
và tạo một đường dẫn mới nơi files được lưu.
Sau đó, bạn khởi động lại Wireshark để thực hiện các thay đổi ở trên. Bây giờ, bạn chỉ cần load một file PCAP hoặc tạo quá trình chụp gói tin mới. Khi tất cả các gói tin đã được chụp và bạn muốn tạo ra bản đồ với các kết nối tham gia trong một sự cố nào đó, bạn cần đi tới Statistics -> Endpoints
chọn tab IPv4 và click vào map. Chú ý rằng ví dụ nếu bạn muốn lọc các gói tin UDP mà nó có liên quan tới malware, bạn lựa chọn "Limit to display filter" để in ra các kết nối này trên bản đồ. Sau đó click vào map.
Cuối cùng, chúng ta cần một bản đồ động với các kết nối trên bản đồ. Trong trường hợp này, mình sử dụng file PCAP liên quan tới tấn công tới php.net, bạn có thể download file PCAP dưới đây:
Để đạt được mục đích này, bạn có thể thực hiện bằng cách tạo ra một bản đồ sử dụng Wireshark. Trong bài này, mình sẽ sử dụng phiên bản mới nhất của Wireshark là 1.10.2.
Việc đầu tiên bạn cần là tải về cơ sở dữ liệu GeoIP: GeoLite City, Countruy và ASNum từ liên kết dưới đây:
http://dev.maxmind.com/geoip/legacy/geolite/
Sau đó, bạn lưu chúng vào cùng một folder. Ví dụ: C:Geoip
Bây giờ, chúng ta cần chỉ dẫn cho Wireshark nơi mà chúng ta lưu các tệp tin GeoIP. Để làm điều này, bạn cần mở Wireshark đi tới Edit -> Preferences -> Name Resolution và click vào Edit trong đường dẫn của cơ sở dữ liệu của GeoIP.
và tạo một đường dẫn mới nơi files được lưu.
Sau đó, bạn khởi động lại Wireshark để thực hiện các thay đổi ở trên. Bây giờ, bạn chỉ cần load một file PCAP hoặc tạo quá trình chụp gói tin mới. Khi tất cả các gói tin đã được chụp và bạn muốn tạo ra bản đồ với các kết nối tham gia trong một sự cố nào đó, bạn cần đi tới Statistics -> Endpoints
chọn tab IPv4 và click vào map. Chú ý rằng ví dụ nếu bạn muốn lọc các gói tin UDP mà nó có liên quan tới malware, bạn lựa chọn "Limit to display filter" để in ra các kết nối này trên bản đồ. Sau đó click vào map.
Cuối cùng, chúng ta cần một bản đồ động với các kết nối trên bản đồ. Trong trường hợp này, mình sử dụng file PCAP liên quan tới tấn công tới php.net, bạn có thể download file PCAP dưới đây:
HTML:
https://www.mediafire.com/?fg3gruukd6xgvmv